Oui en effet, je vais conserver la double authentification.

Merci

Avec votre schéma :

Internet <-> Box <-> LAN maison
et
LAN Maison  <-> (WAN) pfsense (LAN) <-> reseau Gite

Dans l'onglet LAN (=reseau Gite), il faut

autoriser l'accès à la box interdire l'accès au réseau WAN (wan subnet) (ou mieux un alias équivalent)
Comme les règles sont exécutées dans l'ordre cela devrait bloquer l'accès aux PC/NAS/… du réseau de la maison.
Et sans empêcher l'accès à Internet ...

Quand au log de navigation, il faut installer Squid et activer un proxy transparent ...
(Et ne pas consulter les logs ...)

Re-Bonjour, mes premiers tests sont concluants, ça a l'air de marcher.

J'avais oublié de cocher le paramètre "accounting packets" dans le portail captif..

Reste à mettre tout cela en place réellement

Je confirme donc que ce tuto fonctionne avec le serveur Radius sur Windows 2008R2.

Un firewall ne devrait pas swapper !

Le swap est destiné à compléter la mémoire en cas de sur-utilisation temporaire, par exemple avec une base de données absorbant une requête lourde.
Pour un firewall, il est logique de disposer de la mémoire nécessaire à son travail de filtrage de trafic IP.
En cas de swap, le temps de réaction deviendra excessif et risque de compromettre le filtrage à cause de timeout.
(Imaginez un flux de type VoIP qui passerait de quelques ms à quelques milliers de ms !)

Bonour jdh, effectivement mon probleme venait de la ce que je ne comprends pas c'est pourquoi je pinguais les pc sur les deux reseaux 192.168.1.x et 192.168.2.x et pour quoi j'avais l'interface de ma box a partir des pc sur le 192.168.2.x  et pas internet.

merci a toi aussi baalserv pour le lien.

je me suis peut etre lancé un peu tete baissé dans le pfsense et je suis desolé si ca a pu agacé quelqu'un.

mais la lecon va servir je vais le refaire plusieurs fois bien voir les manips et verifier dans les bons onglets.

bonne soirée a vous

vincent

<mode divination="" on="">Chez moi il fonctionne parfaitement ^^</mode>

Je suis surpris par la traduction depuis le français des règles :

http=80/tcp, https=443/tcp donc TCP et non TCP+UDP la notation 80-443 désigne tous les ports entre 80 et 443 donc 80-443 = 80, 81, 82, …, 442, 443 : erreur !!

Enfin pourquoi écrire une règle (règle n° 3) qui ne sera jamais exécuté :

d'abord elle devrait précéder les règles 1 et 2, mais elle concerne un flux direct entre un pc et le proxy qui ... ne passe pas par le firewall.

La redirection vers un proxy, comme indiqué, ne peut fonctionner que pour un proxy en DMZ !
Et puis, le proxy transparent est une fausse bonne idée (d'ailleurs cela ne fonctionne que pour http !).

Un top durant le test :

Bonjour,

Commencez donc par ''apprendre'' votre nouvel outil (pfsense) en l'utilisant de façon basique pour faire ce pour quoi il est fait et ses fonctionnements (ou et comment écrire telle ou telle règle et pourquoi)

Une fois la base aquise vous pourez mettre en place une plateforme de tests coérante !

A l'issu vos prochains posts ne devraient plus être aussi lacunaire que le 1er

Cordialement

"Les logs deviennent inutilisable" : en effet c'est le cas.
En production ce n'est évidemment pas envisageable.

Merci pour vos réponses :)

@jdh : Je ne connaissais pas WPAD, ça semble très intéressant.

Je vais de ce pas changer le réseau de la LAN et de la machine windows 7 pour les mettre dans un réseau 10.X

A la base il y a plusieurs contradictions.
1. Le proxy sur le firewall … très moyen, JDH et moi avons déjà exposé les raisons qui plaide contre ce choix, à de multiples reprises.
2. Le proxy transparent ne permet pas à l'entreprise de satisfaire les obligations légales.
3. Proxy sur un dispositif transparent (d'un point de vue ip) c'est difficile puisque justement un navigateur contacte un proxy ou une gateway .... désigné par son adresse ip.
4 . Quel intérêt fonctionnel d'avoir en gateway le routeur opérateur plutôt que le firewall ?

On va prendre le problème autrement. Quels sont les besoins fonctionnels, les contraintes ? Dans un second temps il sera éventuellement possible d'élaborer une solution fonctionnelle.

jamais rencontré ce genre de problème. la durée est elle fixe ? combien de minutes ?
As tu changé l'agressivité du suivi d'état de session ?

Cette dégradation des temps de réponse est anormale. Quelle est la configuration exacte (addons ?) de Pfsense ?

Que ce soit possible ou pas sous Linux cela n'a guère d'importance dans le cas qui nous préoccupe. Vu que l'on parle ici de pfsense, on parle de FreeBSD, comme ccnet et jdh l'ont mentionné tous deux dans leurs posts respectifs.

Quant à une autre question effectivement restée en suspens, pour schématiser simplement ZFS est à BSD ce que NTFS est à Windows. C'est tout simplement le format utilisé pour les partitions des disques. Sous pfsense cela n'a guère d'intérêt car il n'y a pas besoin de beaucoup d'espace disque pour le faire fonctionner, en revanche il y a des compléments d'information sur le site de FreeNAS (une solution également basée sur FreeBSD)

Cordialement.

Merci pour ta réponse !
Par contre je ne comprends pas pourquoi squidguard ne récupère pas le vrai certificat ?

Salut Salut,

@ccnet

effectivement il existe une chose comme vous l'avoir cité, mais defois même en l'utilisant cette chose là, faudrait-il avoir du monde entre les deux feuilles de choux et de surcroit pas en mode cui-cui… certe. je ne suis pas un modele non plus ma semoule synaptique à souvent des retards d'alimentation mais quand même. :p

tout a fait exact,

Merci pour le renseignement
seulement rentrer tous les alias j'en ai grosso modo 800 cela en fait des clics et le nat j'en ai pas mal aussi.
les règles de filtrage effectivement je vais les faire avec l'interface. pour tout bien mettre à plat et éliminer toutes celles qui ne servent plus à rien.
Ce que j'aime c'est effectivement l'interface qui permettra à mes collègues de pouvoir le gérer. (on ne modifie pas les règles et le filtrage tous les jours)

bonne journée merci

Les alias sont absolument nécessaires, surtout avec un cluster !

Le principe du cluster, c'est de partager des adresses ip : le master les possèdent, le slave les récupèrent quand le master ne répond plus.

Dans les règles NAT ou les règles d'interfaces classiques, on utilisera non pas "WAN Address" mais l'alias de l'ip WAN partagée.

Cluster :

machine 1 : ipWAN1, ipLAN1, ipDMZ1 machine 2 : ipWAN2, ipLAN2, ipDMZ2 adresses partagées : ipWAN, ipLAN, ipDMZ

Les règles doivent être écrites en utilisant les alias des adresses partagées !
Par contre, on utilisera "LAN subnet", "WAN subnet" ou "DMZ subnet" puisque c'est la même valeur pour chaque machine !

NB : on ajoute normalement des règles "croisées" d'accès à l'interface d'administration d'une machine vers l'autre, pour permettre l'échange "CARP" !

(Je présume que vous n'avez pas mis en place vous-même le cluster …)